şükela:  tümü | bugün sorunsallar (5)
896 entry daha
  • 2013'ten beri kısıtlı çevremle kullandığım mesajlaşma uygulaması.
    özellikleri ve rahatlığı nedeniyle kullanıyorum ama bu uygulama bahsedildiği kadar güvenli değildir. işin teknik kısımlarına teknik ve akademik kaynaklarıyla beraber bakalım.

    --- çok teknik olmayan özet ---
    * telegram tamamen açık kaynak kodlu değildir.
    * telegram varsayılan olarak uçtan uca şifreleme yapmaz.
    * telegram'ın kullandığı şifreleme algoritması bir çok şüphe barındırırken, whatsapp daha güvenilir bir protokol kullanmaktadır.
    * whatsapp şifrelemesi ve mimarisi, iddia edildiği gibiyse, daha güvenilirdir*. (yedekleme hariç)
    * telegram mesajlaşmaları sunucularda tutar ve isterse okuyabilir.
    --- çok teknik olmayan özet ---

    - öncelikle telegram'ın sadece client (istemci*) tarafı açık kaynak kodludur öte yandan server (sunucu*) kodları ise kapalı kaynak koduna sahiptir. bu şu anlama gelmektedir, mesajların iletiminin sağlandığı bulut servislerinde çalışan kodları sadece telegram bilmektedir ve bu kodlar proprietary* olarak geçer.

    - açık kaynak kodlu kısmının api'nı kullanarak kendiniz bir uygulama oluştursanız bile yine arkada telegram'ın backend servislerine bağlanmanız gerekmektedir. yani, pratikte*, sadece telegram servislerine bağlanan bir istemci yazabilirsiniz. (bu kısım kendi içinde çok teknik detay barındırıyor uzatmadan devam edelim)

    - telegram varsayılan olarak end-to-end(uçtan uca) şifrelemeyi kullanmaz.

    - telegram'ın kullandığı şifreleme algoritması olan mtproto, literatürde yer alan, detaylıca test edilmiş ve sağlamlığından emin olunan onaylanmış algoritmalardan biri değildir. konunun uzmanları tarafından da güvenilirliğinden şüphe edilen bir algoritmadır. öte yandan whatsapp'ın kullandığını iddia ettiği signal protokolü ise open whisper systems tarafından geliştirilmiştir. bu protokol güvenlik çevreleri açısından birçok yönden test edilmiş ve onaylanmış bir güvenlik protokolüdür. (whatsapp kapalı kaynak kodlu olduğu için kesinlikle kullandığından emin değiliz fakat multimilyarlık firma böyle bir risk almaz.)

    - telegram'ın secret chat özelliği bahsedildiği gibi çalışmaktadır. uçtan uca şifrelemeyi burada kullanır.

    - whatsapp ve dolayısıyla facebook dahi kullanılan şifreleme anahtarlarına sahip olmadıkları için, mesajlarınızı okuyamazlar, depolamazlar.(lakin herkesin kendi cloud servisinde depoladığı whatsapp yedekleri güvenlik açısından sıkıntılıdır.) peki whatsapp mesajları okumuyorsa nasıl para kazanıyor, cevap: metadata.

    - öte yandan, telegram sunucu'dan istemci'ye şifreleme yapar, yani şifrelemede kullanılan anahtarlar telegramdadır ve dilerse kendi sunucularında tuttuğu mesajları da okuyabilir, birilerine* verebilir. bu mimarinin faydası şu: bağlandığınız farklı birçok istemcide (web, masaüstü, telefon) bütün mesajlaşma geçmişiniz yüklenir.

    telegramda güvenlik konusuna bol kaynak referans kullanarak mümkün olan en güncel halleriyle açıklık getirmeye çalıştım. aksini iddia edenlerle teknik/akademik çerçevede konuşabiliriz.

    bu entry'de facebook/whatsapp övmedim, zaten gizlilik konusunda sınıfta kalmış bir şirket. bununla beraber whatsapp gizlilik ve güvenlik ile reklamını yapan bir uygulama değilken, telegramın tamamen bu mottoyla ünlendiğini göz önüne alırsak yukarıdaki analizin anlamı ortaya çıkar.

    sonuç: hiçbir uygulama ve servis %100 güvenlik ve barındırmaz. günlük kullanımda şahsi tercihim ise imessage. cross platform için tavsiye ise: signal.
1127 entry daha